» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 转贴-解读主动防御    12   2/2   <   1   2  作者: 标题: 转贴-解读主动防御 反黑先锋 版主 RUNWAY 积分 2901 发帖 2857 注册 2006-6-17 #11     Quote: Originally posted by wantcm at 2007-8-15 16:31: 篇外： 微点从诞生之初就备受争议，其行为判断的黑箱机制又让不少朋友为之争论。呵呵，一位台湾朋友至今都不认为微点是行为分析。我从去年年初了解到微点，一直也在不断地对其关注分析。对于微点面监控的认识，来自于最近的一次试验，和大家共同分享。 有天我在想如何把微点最具威力的可怕的追源能力废掉，我设想的方案是木马生成者生成木马程序，然后把木马改名。原本以为这样应该就可以扰乱了微点程序生成日志的程序生成关系。于是用cmd.exe的ren命令进行测试，哪知道微点的监控策略之非常特殊，微点会根据改名的情况实时更新历史日志，以保证日志的有效性。正是日志系统中反应出来的这种基本上与安全无关的监控策略，使我顿悟了微点面监控体系的特点。 附试验方法： 在桌面上复制一个TASKMGR.EXE到C盘根目录，微点日志记录为： 2007-07-18 18:28:07 C:\TASKMGR.EXE C:\WINDOWS\EXPLORER.EXE 输入命令行：ren ctaskmgr.exe c1.exe 后，日志被自动修正为： 2007-07-18 18:28:07 C1.EXE C:\WINDOWS\EXPLORER.EXE 好帖 ※ ※ ※ 本文纯属【反黑先锋】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 荣先祥藏头诗《赞东方微点》 东风欣传好消息 方策独步世所稀 微妙玄机嵌主动 点睛灭毒堪神笔 2007-8-17 21:35 yoda66 银牌会员 积分 1852 发帖 1852 注册 2007-5-6 #12   写得非常好。精辟 ※ ※ ※ 本文纯属【yoda66】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-8-19 15:37  12   2/2   <   1   2  论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号